1 2 1 3 PIN(Personal Identification Number) An Examination of Icon-based User Authentication Method for Mobile Terminals Fumio Sugai, 1 Masami Ikeda, 2 Naonobu Okazaki 1 and Mi RangPark 3 In recent years, mobile terminals such as the smartphone has been widely used. Most of the mobile terminals has been stored many personal information, so it is necessary to lock and unlock the screen in order to prevent from information be stolen by such as Personal Identification Number (PIN). However, most existing authentication methods have a problem, called Shoulder-Surfing, that authentication information can be inferred by watching the authentication sequence. In this article, we propose some icon-based authentication methods that are simple but sufficiently secure even if the other persons are watching the authentication sequence. 1. PIN(Personal Identification Number) 2. 2.1 1 University of Miyazaki 2 University of Miyazaki 3 Kanagawa Institute of Technology 1 c 2012 Information Processing Society of Japan
2.2 2.3 1)2) Android Password Pattern 3) 4) 5) 3. 3.1 (1) (2) (3) (1) (2) ATM 10 PIN4 10 PIN4 (3) 5 6 3 2 c 2012 Information Processing Society of Japan
3.2 Secret Icon Secret Icon 4 4 Yes No ( 3) 50 Yes No Yes No 3.3 Secret Tap Secret Icon (5.1 ) Secret Tap 1 Secret Icon 4 4. 2 2 4 1 4 5 1 Secret Tap 3.4 Secret Tap 第 1 象限第 2 象限第 3 象限第 4 象限 Secret Tap Secret Tap Secret Tap 5 5 2 Secret Tap 24 4 6 2 2 4 1 4 3 Y 3 X Secret Tap 1 4 1 4 X Y X Y Y X Secret Tap 3 c 2012 Information Processing Society of Japan
情報処理学会研究報告 第1象限 第2象限 第3象限 第4象限 X軸 図 3 実装したアプリケーションの認証画面 Secret Icon 方式 Y軸 図 2 拡張 Secret Tap 方式の認証画面 4. 実 第2象限 第1象限 装 4.1 実 装 環 境 各提案手法は JAVA で Android SDK を用い 統合開発環境 Eclipse を使い Android 端 末上に実装した 4.2 アプリケーション 第3象限 第4象限 Secret Icon 方式 Secret Tap 方式 拡張 Secret Tap 方式を一つのアプリケーションに 実装し メニューから各提案手法を切り替えられるようにした アプリケーションに実装し た各提案手法の認証画面をそれぞれ図 3 図 4 図 5 に示す この認証画面を規定回数タッ プすると認証に成功したか失敗したかを表示する さらに アイコンの設定画面を実装し 図4 Secret Tap 方式の認証画面 入力回数およびアイコンの一覧表をタップして正解となるアイコンを設定できるようにした (図 6) 同図の 1 のエリアに使用できるアイコンの一覧が表示され このエリアに表示され 5. 評価および考察 ているアイコンをタップして正解となるアイコンを選択する 選択後 同図の 2 のエリアに 現在選択されているアイコンがリストとして表示される また 同図の 3 のエリアで入力回 5.1 偶然認証に成功する確率に対する評価 数を設定する 偶然認証を突破される確率は入力が n 回の場合 Secret Icon 方式では 1/2n Secret Tap 方式では 1/4n 拡張 Secret Tap 方式では 1/6n となる 各提案手法の偶然認証に成功する 4 c 2012 Information Processing Society of Japan
情報処理学会研究報告 しまうためである Secret Tap 方式では 5 回繰り返した場合 1/1024 となり 4 ケタの 10 進数 PIN の 1/10000 Y 第2象限 軸 第1象限 と比べてまだ強度が不足する しかし 6 回で 1/4096 7 回で 1/16384 となり この回数入 力することがユーザビリティの観点から許容できるならば実用的なレベルであると考える 拡張 Secret Tap 方式では 5 回繰り返した場合 1/5184 となり 4 桁の 10 進数 PIN の 1/10000 と比べてまだ強度が不足するが 近い値になる 6 回繰り返した場合に 1/20736 と X軸 X軸 なり 4 桁の 10 進数 PIN の強度を超える Y 第3象限 軸 第4象限 図 5 実装したアプリケーションの認証画面 拡張 Secret Tap 方式 1 3 4回 5回 6回 Secret Icon Secret Tap 拡張 Secret Tap 10 進数 PIN 1/16 1/256 1/1296 1/10000 1/32 1/1024 1/5184 1/100000 1/64 1/4096 1/20736 10 6 7回 8回 9回 Secret Icon Secret Tap 拡張 Secret Tap 10 進数 PIN 1/128 1/256 1/512 1/16384 1/65536 1/262144 1/82944 1/331776 1/1327104 10 7 10 8 10 9 表 1 提案手法と 10 進数 PIN の認証強度の比較 5.2 ユーザビリティに対する考察 Secret Icon 方式の認証画面の中からアイコンを探し出すという行為について アイコン が見つかった場合は即座に Yes をタップすることが可能だが アイコンが見つからなかっ た場合は本当になかったのか不安になり確認に時間がかかってしまう. 認証方式を考案する 上で 表示されているアイコンの中から特定のアイコンが含まれないことを確認する行為は ユーザビリティを損ねると考えることができる 一方 Secret Tap 方式および拡張 Secret 2 Tap 方式は 必ず一つ正解となるアイコンが表示されるため 必ずアイコンが表示されて 図6 いるという安心感があり アイコンを見つけるという行為に集中でき ユーザビリティが向 アイコン設定画面 上したと感じることができた 確率を表 1 に示す 同表において 10 進数の 4 桁の PIN に相当する強度を各提案手法で実 偶然認証を突破される確率と入力回数の間にはトレードオフの関係が存在し 入力回数が 現するときの入力回数を太字で示している 多くなるとユーザビリティは低下するが 偶然認証を突破される確率は向上する 本論文で Secret Icon 方式では 10 回繰り返し入力した場合でも 1/1024 となり 4 ケタの 10 進数 は ユーザの負担にならない入力許容回数を 5 回から 6 回程度と仮定したが 実際はユー PIN の 1/10000 と比べて大幅に強度が不足する これは答えとなるアイコンを複数設定し ザ毎に異なる このためユーザに許容される入力回数を知る必要があると考えられる てマス目の中からアイコンを探しても 最終的にはあるかないか二値の情報に置き換わって 5 c 2012 Information Processing Society of Japan
6. Secret Icon Secret Tap Secret Tap 1) P.C. van Oorschot R. Biddle, S. Chiasson. Graphical passwords:learning from first twelve years. ACM Computing Surveys, Vol. vol.44 no.4,, 2011. 2),. (, p2p,,,, ).. MoMuC,, Vol.107, No.446, pp.61-66, 2008-01-17. 3) Google Android - open source project http://source.android.com/ 4) Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M. Smith, Smudge Attacks on Smartphone Touch Screens 5),.., Vol.49, No.9, pp.3038-3050, 2008-09-15. 6 c 2012 Information Processing Society of Japan